Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Jika Anda mengimpor model dari bucket Amazon S3 dan menggunakan Amazon S3 lintas akun, Anda harus memberikan izin kepada pengguna di akun pemilik bucket untuk mengakses bucket sebelum Anda mengimpor model yang disesuaikan. Lihat Prasyarat untuk mengimpor model khusus.
Konfigurasikan akses lintas akun ke bucket Amazon S3
Bagian ini memandu Anda melalui langkah-langkah untuk membuat kebijakan bagi pengguna di akun pemilik bucket untuk mengakses bucket Amazon S3.
-
Di akun pemilik bucket, buat kebijakan bucket yang menyediakan akses ke pengguna di akun pemilik bucket.
Contoh kebijakan bucket berikut, yang dibuat dan diterapkan ke bucket
s3://amzn-s3-demo-bucketoleh pemilik bucket, memberikan akses ke pengguna di akun123456789123pemilik bucket.{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossAccountAccess", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789123:role/ImportRole" }, "Action": [ "s3:ListBucket", "s3:GetObject" ], "Resource": [ "arn:aws:s3://amzn-s3-demo-bucket", "arn:aws:s3://amzn-s3-demo-bucket/*" ] } ] } -
Di pengguna Akun AWS, buat kebijakan peran eksekusi impor. Untuk
aws:ResourceAccountmenentukan id akun pemilik bucket Akun AWS.Contoh kebijakan peran eksekusi impor berikut di akun pengguna memberikan
111222333444555akses id akun pemilik bucket ke bucket Amazon S3.s3://amzn-s3-demo-bucket{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetObject" ], "Resource": [ "arn:aws:s3://amzn-s3-demo-bucket", "arn:aws:s3://amzn-s3-demo-bucket/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "111222333444555" } } } ] }
Konfigurasikan akses lintas akun ke bucket Amazon S3 yang dienkripsi dengan kustom AWS KMS key
Jika Anda memiliki bucket Amazon S3 yang dienkripsi dengan kunci custom AWS Key Management Service (AWS KMS), Anda harus memberikan akses ke bucket tersebut kepada pengguna dari akun pemilik bucket.
Untuk mengonfigurasi akses lintas akun ke bucket Amazon S3 yang dienkripsi dengan kustom AWS KMS key
-
Di akun pemilik bucket, buat kebijakan bucket yang menyediakan akses ke pengguna di akun pemilik bucket.
Contoh kebijakan bucket berikut, yang dibuat dan diterapkan ke bucket
s3://amzn-s3-demo-bucketoleh pemilik bucket, memberikan akses ke pengguna di akun123456789123pemilik bucket.{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossAccountAccess", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789123:role/ImportRole" }, "Action": [ "s3:ListBucket", "s3:GetObject" ], "Resource": [ "arn:aws:s3://amzn-s3-demo-bucket", "arn:aws:s3://amzn-s3-demo-bucket/*" ] } ] } -
Di akun pemilik bucket, buat kebijakan sumber daya berikut untuk mengizinkan peran impor akun pengguna mendekripsi.
{ "Sid": "Allow use of the key by the destination account", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::"arn:aws:iam::123456789123:role/ImportRole" }, "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "*" } -
Di pengguna Akun AWS, buat kebijakan peran eksekusi impor. Untuk
aws:ResourceAccountmenentukan id akun pemilik bucket Akun AWS. Juga, berikan akses ke AWS KMS key yang digunakan untuk mengenkripsi ember.Contoh kebijakan peran eksekusi impor berikut di akun pengguna memberikan
111222333444555akses id akun pemilik bucket ke buckets3://amzn-s3-demo-bucketAmazon S3 dan AWS KMS keyarn:aws:kms:us-west-2:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetObject" ], "Resource": [ "arn:aws:s3://amzn-s3-demo-bucket", "arn:aws:s3://amzn-s3-demo-bucket/*" ], "Condition": { "StringEquals": { "aws:ResourceAccount": "111222333444555" } } }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-west-2:123456789098:key/111aa2bb-333c-4d44-5555-a111bb2c33dd" } ] }
